Siden den nye personvernforordningen (GDPR) og den nye personopplysningsloven vil få betydning for alle virksomheter, vil alle virksomheter måtte gjennomføre et prosjekt for å få virksomheten i overensstemmelse med de nye reglene. Et slikt prosjekt er et felles prosjekt som spesielt HR, IT og de ansvarlige for forretningsdriften må ta stor del i, men ofte er det én person som blir ansvarlig, som internadvokaten (for det handler jo om juss…), IT-avdelingen (dette er vel noe med data…), HR eller andre. Her er en enkel oversikt over hva den som blir ansvarlig kan gjøre for å gjennomføre et GDPR-prosjekt.
Et GDPR-prosjekt, dvs. å få en virksomhet i overensstemmelse med de nye reglene før 25. mai 2018, skiller seg ikke mye fra andre prosjekter knyttet til compliance. Det spesielle ved GDPR-prosjekter er mest at det er stor oppmerksomhet knyttet til GDPR, mange meninger, mange som tilbyr ulike tjenester og det er en frist som vedrører mange. Det er også knyttet meget store bøter til manglende overholdelse av reglene (selv om dette er maksimalnivåer) som medvirker til å øke oppmerksomheten.
Alle virksomheter bør gjennomføre et GDPR-prosjekt for å avklare om virksomheten er driver i overensstemmelse med de nye reglene. Et slikt prosjekt kan bli omfattende, men det bør ikke bli det. Som jeg har tidligere skrevet i artikkelen “11 påstander om GDPR og de nye personvernreglene som er (delvis) feil“, så vil det å bli klar for GDPR være en overkommelig oppgave som kan gjennomføres på relativ kort tid (forutsatt at man har rette ressurser tilgjengelig og gjennomfører prosjektet metodisk) for de fleste selskaper. Det handler om å kartlegge hvilke personopplysninger som behandles, vurdere om behandlingen er i overensstemmelse med reglene, utbedre avvik fra reglene, utarbeide dokumentasjon på behandlingen og andre tiltak og krav som følger av regelverket. Et prosjekt kan gjennomføres på 1 til 3 måneder avhengig av hvor mye som allerede er på plass i virksomheten, ressurser internt og eksternt, hvor mye og hvordan personopplysninger behandles i virksomheten og enkelte andre forhold.
Et GDPR-prosjekt vil grovt sett omfatte følgende faser:
- Planlegge som vil bl.a. omfatte å definere omfang/planlegge, allokere ressurser, fremdriftsplan, og angi risikonivå.
- Kartlegge personopplysninger som behandles, behandlingsmåte, informasjonssystemer, bruk av leverandører/underdatabehandlere, overføring til tredjeland, rutiner og prosedyrer, dokumentasjon mv. (Sender du meg en melding i LinkedIn, sender en epost på jan.sandtro@dlapiper.com eller legger inn en kommentar under artikkelen, så sender jeg deg et regneark til hjelp for å få oversikt over personopplysninger som behandles.)
- Vurdere behandlingen av data og informasjon, identifisere avvik fra regelverket og akseptert risikonivå, samt en risikovurdering av den behandling av personopplysninger som skjer med tilhørende risikoelementer.
- Dette ender opp i et avvik.
- Utbedre som vil være å iverksette tiltak og endre rutiner som ikke er i overensstemmelse med GDPR (og annet regelverk).
- Etablere en effektiv struktur (governance) for å håndtere avvik og risikoelementer i organisasjonen.
- Håndtere løpende risikoforhold som oppstår, samt håndtering av endringer i rammelovgivning, teknologi og andre forhold som kan påvirke risiko i organisasjonen.
Selv om et slikt prosjekt kan virke uoverkommelig så blir det enklere og mer oversiktlig etterhvert som man kommer igang med prosjektene. Start med planlegging og involvering av de rette ressursene, og kom igang med kartleggingen, så vil det meste være klart fremover. Stort sett vil prosjektene kunne gjennomføres med interne ressurser, og det bør i mange tilfelle være interne ressurser som gjennomfører i det vesentlige (spesielt ved kartlegging). Men det kan være at det er behov for eksterne rådgivere, spesielt ved vurdering og utbedring, som rådgivere med juridisk og teknisk kompetanse. Det kan også være at det må anskaffes it-løsninger og foreta organisatoriske endringer for å utbedre avvik mot de nye reglene.
Er tiden knapp, og man får ikke gjennomført et helt prosjekt, kan man gå etter de lavthengende fruktene (først). Ved å fokusere på de mest hyppig forekommende bruddene på personvernreglene, så får man bukt ved mange av utfordringene. Her er en oversikt over de 6 vanlige bruddene på GDPR.
Et GDPR-prosjekt vil gjennomføres etter følgende overordnede plan: